Axborot texnologiyalari, tarmoqlar va telekommunikatsiyalar

International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND 
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30 
522 
kirishni ta’minlash bo‘lishi kerak [1]. Xavfsiz login siyosati orqali ma’lumotlar 
bazasida 
to‘plangan 
foydalanuvchi 
parollarini 
himoya 
qilish 
bilan 
shug‘ullanadigan zamonaviy web-ilovalarda tobora muhim xavfsizlik muammosi 
hisoblanadi. Foydalanuvchi parolini ochish uchun eng keng tarqalgan hujum SQLi 
(SQL injection) va XSS (Cross-Site Scripting) sifatida tanilgan. XSS hujumi 
asosan skriptlar ko‘rinishida berilgan foydalanuvchi ma’lumotlarini noto‘g‘ri 
tozalash va tekshirish tufayli yuzaga keladi [2]. Cookie-fayllarni o‘g‘irlash yoki 
seansni o‘g‘irlashning eng keng tarqalgan usuli brauzer tomonidan qo‘llab- 
quvvatlanadigan HTML kodlash texnikasi bilan kodlangan JavaScript-ni 
joylashtirishdir. XSS hujumlari uch turga bo‘linadi [3]: aks ettirilgan XSS, 
saqlangan XSS va Document Object Model yoki DOM-ga asoslangan XSS 
hujumi. Xuddi shunday, XSS hujumi raqib nomidan foydalanuvchi imtiyozlari 
bilan operatsiyalarni amalga oshirish uchun foydalanuvchi sirlarini oshkor qilishda 
foydalanuvchi brauzeri tomonidan JavaScript kabi bajariladigan koddan 
foydalanadi. PHP da amalga oshiriladigan odatiy web-ilova 1-rasmda tasvirlangan. 
1-rasm. Odatdagi web-ilova arxitekturasi (PHP tili uchun). 
Masalan, tajovuzkor SQLi hujumi uchun satrlar (masalan, raqamlar, sanalar) 
bo‘lmasligi kerak bo‘lgan o‘zgaruvchilardan foydalanishi mumkin. Bundan 
tashqari, foydalanuvchi parolini aniqlash, mijoz va server o‘rtasidagi aloqani 
ta’minlash uchun HTTPS dan foydalanmaydigan kompyuter, umumiy foydalanish 
mashinalari va boshqalar kabi ishonchsiz mashinalardan foydalanuvchi tizimga 
kirishi orqali amalga oshirilishi mumkin. Ushbu maqolada biz web-ilovaga xavfsiz 
kirish usullari va usullarini ko‘rib chiqdik. Foydalanuvchi hisob ma’lumotlarini, 
ayniqsa parollarni himoya qilishning ahamiyati, web dasturchilar va dastur 
arxitektorlari(software architect) uchun qiyinchilik tug‘diradi. Ularni mavjud 
vositalarning ijobiy va salbiy tomonlariga yaqinlashtirish uchun ushbu bo‘limda 
foydalanuvchi ma’lumotlarini himoya qilish uchun mavjud usullar, texnikalar va 
mexanizmlarni tahlil qilish mezonlarini aniqlashga harakat qilamiz. Ma’lumotlar 
bazasiga asoslangan web-ilovalarda foydalanuvchi ma’lumotlarini himoya qilish, 
bunday tizimda tegishli xavfsizlik darajasiga erishish uchun zarurdir. 
A.
Ushbu yondashuvdan foydalangan holda, parol shifrlangan yoki xeshlangan 
bo‘lishidan qat’i nazar, xizmatga kirish uchun tarmoq trafigida mavjud bo‘ladi, 
garchi ular ma’lumotlar bazasida saqlangan bo‘lsada, agar MD5 va SHA-128 
kabi zaif algoritmlardan foydalanilsa, tajovuzkorlar qo‘pol kuch hujumi orqali 

International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND 
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30 
523 
parolni oddiy matnda qaytarib olish imkoniyatiga ega bo‘ladilar. Bundan 
tashqari, DES, RC4 va Blowfish kabi shifrlash usullari shifrlash uchun 
ishlatiladigan zaif kalitlarning tabiati tufayli zaif ekanligi isbotlangan. 
Texnologiyaning rivojlanishi bilan murakkab hujumlar qo‘pol kuch hujumlari 
uchun GPU chiplaridan foydalanadi, shuningdek, bunday tizim o‘ta xavfli 
bo‘lib qolgan resurslarni ijaraga olish imkoniyatidan foydalanadi [4]. 
B.
Bir tomonlama shifrlash va xeshlash yondashuvini kengaytirish va yangi 
xususiyatni qo‘shish foydalanuvchi hisob ma’lumotlarining xavfsizlik 
darajasini oshiradi. Ushbu kengaytmalar bir martalik parollarni (OTP) joriy 
etishda aks ettirilgan. Ular faqat bitta kirish seansi yoki tranzaksiya uchun amal 
qiladi [5]. Ushbu tizimning afzalligi shundaki, algoritm har bir 
foydalanuvchining tokenidan farq qiladi, bu esa tajovuzkorlar tomonidan 
algoritmni buzishning oldini oladi. Xuddi shunday, ikki faktorli 
autentifikatsiyadan foydalangan holda tashkilot mavjud autentifikatsiya 
tizimidagi minimal o‘zgarishlar bilan tizimning xavfsizlik darajasini osongina 
oshirishi mumkin. Shunday qilib, tajovuzkorlar maqsadga erishish uchun 
qiyinroq qadamga duch kelishadi [6]. 
C.
Anis web-ilovalarga hujumning oldini olishga qaratilgan xavfsizlik siyosatidan 
foydalanishni taklif qildi va natijada foydalanuvchi hisob ma’lumotlarining 
oshkor etilishini oldini oldi [7]. 
D.
Segmentlangan himoya bilan foydalanuvchi hisob ma’lumotlarini himoya 
qilish kuchli xesh algoritmlari yordamida parolni shifrlash va uni tasodifiy 
yaratilgan tuz qiymatlari bilan o‘rashga asoslanganp [8]. 
Xeshlash funksiyalaridan foydalangan holda parolni himoyalashni baholash 
uchun biz maʼlumotlar bazasini boshqarishning mashhur vositasi bo ʻlgan 
phpMyAdmindan foydalanishni tanladik. Ushbu vosita parolni saqlash 
mexanizmlarini va SHA-256, MD5 va BCrypt kabi turli xil parollarni xeshlash 
funksiyalaridan foydalanishni amalga oshiradi. Qaysi usuldan foydalanilmasin, 
parolni ochish vaqt masalasidir. 
Xavfni minimallashtirish va hujumning oldini olish maqsadida SANS 
instituti parolni xeshlash uchun 512 ostidagi SHA xeshlash mexanizmidan 
foydalanmaslikni tavsiya qiladi, chunki ular tezkor xeshdir. 
Yuqorida aytib o‘tilganidek, autentifikatsiya - bu shaxsni tekshirish jarayoni. 
Noyob identifikator foydalanuvchi nomi yoki foydalanuvchi identifikatori bo‘lgan 
foydalanuvchi bilan bog‘langan. An’anaga ko‘ra, foydalanuvchini autentifikatsiya 
qilish uchun foydalanuvchi nomi va parol kombinatsiyasidan foydalanamiz. 
Autentifikatsiya mantig‘i mahalliy darajada saqlanishi kerak, shuning uchun biz 
uni mahalliy autentifikatsiya deb ataymiz. Mahalliy autentifikatsiyadan tashqari, 
biz OpenID, Oauth va SAML dan ham autentifikatsiya provayderlari sifatida 
foydalanishimiz mumkin. Quyida ushbu provayderlar bosqichma – bosqich 
keltirilgan: 
1.
Mahalliy autentifikatsiya- autentifikatsiya qilishning eng keng tarqalgan 
usuli bu foydalanuvchi nomi va paroldan foydalanish hisoblanadi. 

International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND 
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30 
524 
2.
OpenID - bu autentifikatsiya protokoli bo‘lib, u bizga mahalliy 
autentifikatsiya tizimidan foydalanmasdan foydalanuvchilarni autentifikatsiya 
qilish imkonini beradi. 
3.
OAuth - bu bizning ilova foydalanuvchimizga provayderga kirish imkonini 
beruvchi avtorizatsiya mexanizmi. 
4.
Ko‘p faktorli autentifikatsiya- Foydalanuvchilarga odatda turli veb-saytlar 
uchun turli xil parollarga ega bo‘lishlari yoki shaxsiy ma’lumotlarini himoya qilish 
uchun parol menejerlaridan foydalanishni tavsiya etadi. 
Xulosa 
Ushbu sohadagi keyingi tadqiqotlar web-ilovalarga kirish uchun 
ishlatiladigan ma’lumotlar bazalarida saqlanadigan parolni ko‘paytirishi mumkin 
bo‘lgan yangi yondashuvlar va usullarni aniqlashga olib kelishi mumkin. Misol 
uchun, turli xil xeshlash va shifrlash usullarini ko‘p qavatli bezovtalanish va tuz 
qiymatlarini qo‘llash kombinatsiyasi bilan baholash bo‘yicha kengroq tadqiqot 
foydalanuvchi hisob ma’lumotlarini himoya qilishning potentsial yangi 
yo‘nalishlarini aniqlashi mumkin. 

Download 5,02 Mb.

Do'stlaringiz bilan baham: